Reuters: Lebih dari Seribu Orang di Twitter Punya Akses yang Bisa Bantu Pembajakan Akun
Ilustrasi
Cyberthreat.id - Lebih dari seribu karyawan dan kontraktor Twitter pada awal tahun ini mendapat akses ke alat internal yang dapat mengubah pengaturan akun pengguna sekaligus memegang kendali atas akun tersebut.
Hal itu disampaikan dua mantan karyawan Twitter kepada Reuters terkait pembajakan massal akun Twitter milik sejumlah orang ternama seperti Elon Musk, Bill Gates, Barrack Obama, Jeff Bezos, dan lainnya. Termasuk juga akun milik calon presiden AS Joe Biden.
Itu sebabnya, menurut mantan karyawan Twitter itu, pembajakan massal yang terjadi pekan lalu itu sulit dihindari.
Twitter mengatakan pada hari Sabtu bahwa pelaku "memanipulasi sejumlah kecil karyawan dan menggunakan kredensial mereka" untuk masuk ke sistem internal dan membajak akses ke 45 akun. Pada hari Rabu, dikatakan bahwa para peretas dapat membaca pesan langsung ke dan dari 36 akun tetapi tidak menyebut akun siapa saja yang terdampak.
Mantan karyawan yang akrab dengan praktik keamanan Twitter mengatakan bahwa terlalu banyak orang bisa melakukan hal yang sama, lebih dari 1.000 pada awal tahun 2020, termasuk beberapa di antaranya di kontraktor seperti Cognizant.
Twitter menolak mengomentari angka itu dan tidak akan mengatakan apakah jumlahnya menurun sebelum atau sejak peretasan terjadi.
Perusahaan sedang mencari kepala keamanan baru, bekerja untuk lebih mengamankan sistemnya dan melatih karyawan untuk melawan trik dari orang luar, kata Twitter. Cognizant tidak menanggapi permintaan komentar.
"Kedengarannya seperti ada terlalu banyak orang yang punya akses," kata Edward Amoroso, mantan kepala petugas keamanan di AT&T.
Menurutnya, tanggung jawab di antara staf harus dipisah, dengan hak akses terbatas dan seharusnya harus ada otorisasi lebih dari satu orang jika hendak membuat perubahan akun yang paling sensitif.
"Untuk melakukan keamanan cyber dengan benar, Anda tidak bisa melupakan hal-hal yang membosankan."
Ancaman dari orang dalam, terutama staf pendukung luar yang dibayar rendah, adalah kekhawatiran konstan bagi perusahaan yang melayani banyak pengguna, kata pakar keamanan cyber. Mereka mengatakan bahwa semakin besar jumlah orang yang dapat mengubah pengaturan kunci, pengawasan yang lebih kuat adalah sebuah keharusan.
Mantan Chief Security Officer di Cisco Systems John Stewart mengatakan perusahaan dengan akses luas perlu mengadopsi serangkaian mitigasi dan "pada akhirnya memastikan bahwa orang yang paling kuat yang berwenang hanya melakukan apa yang seharusnya mereka lakukan."Siapa sebenarnya yang melakukan peretasan itu tidak jelas, tetapi peneliti luar seperti Allison Nixon dari Unit 221B mengatakan insiden itu tampaknya terkait dengan sekelompok penjahat cyber yang secara teratur memperjualbelikan akun unik yang hanya menggunakan satu huruf seperti @y. Ini semacam plat nomor kendaraan satu angka yang dihargai lebih mahal. Di darkweb, kelompok ini dikenal sebagai OG atau "original gengster." (Baca: Pembajakan Massal 130 Akun Twitter: Anak-anak Muda yang Terobsesi Nama Gangster)
Selain itu, di forum online tempat para peretas aktif, telah lama dipenuhi dengan cerita-cerita bahwa mereka memiliki akses ke orang dalam Twitter. Setidaknya, cerita itu telah bergulir sejak 2017.
Mantan teknisi keamanan Twitter John Adams mengatakan Twitter harus memperluas jumlah akun yang dilindungi. Antara lain, akun dengan lebih dari 10.000 pengikut setidaknya harus membutuhkan otorisasi dari dua orang untuk mengubah pengaturan utama.
Pada panggilan untuk membahas pendapatan perusahaan pada hari Kamis, Kepala Eksekutif Twitter Jack Dorsey mengakui kesalahan langkah sebelumnya.
"Kami tertinggal, baik dalam perlindungan kami terhadap rekayasa sosial karyawan kami dan pembatasan alat internal kami," kata Dorsey kepada investor.[]
